alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

"Интернет был построен, чтобы объединять, а не защищать" (с) CISO Microsoft

Смелое заявление от компании, которая регулярно попадает на передовицы из-за очередного взлома своих сервисов или ее клиентов, использующих продукты Microsoft.

Читать полностью…

Пост Лукацкого

Вчера все репостили эту прекрасную картинку, которая была сделана на сайте Муниципального бюджетного общеобразовательного учреждения "Кольцовская школа №5 с углубленным изучением английского языка" (спасибо за ссылку подписчику) 🤡

На самом деле и в названии памятки и в названии файла закралась ошибка и речь в них идет об излечении ребенка от киберзависимости и обеспечении его личной информационной безопасности. И ничего более ☺️

ЗЫ. Но картинка стала вирусной - мне ее раз 10 переслали из разных чатиков. Напомнило вот эту карикатуру, которую я на днях делал.

Читать полностью…

Пост Лукацкого

Небольшое, семиминутное видео про то, ради чего работает (должен работать) безопасник. Писалось для проекта AM Talk!

Читать полностью…

Пост Лукацкого

Вот это пароль… 😲 Я со счета сбился, когда считал нажатия. При такой длине, можно и пренебречь отсутствием букв 😮 И как он его запоминает-то?..

Читать полностью…

Пост Лукацкого

В 1988-м году Роберт Тапан Моррис в целях эксперимента создал одного из первых массовых червей 🪱, активность которого привела к заражению 10% Интернета того времени (сейчас сложно себе представить, что что-то может заразить 10% современной Сети из десятков миллиардов устройств). Спустя 35 лет три исследователя из израильского Университета Технион, компании Intuit и Университета Корнуэлла разработали червя, которого скромно назвали Моррис II 🐛

Данное творение рук человеческих можно отнести к вредоносным самораспространяющимся программам, атакующим системы генеративного искусственного интеллекта 🧠 Этот червь нацелен на ИИ-приложения. Выложенный на GitHub код (да, они его выложили в паблик) демонстрирует атаки на ИИ-помощников, работающих по e-mail в двух сценариях (спам и кража персданных), в двух режимах ("белый" и "черный ящик"), используя два вида входных данных (текст и изображения) против трех ИИ-моделей (ChatGPT 4.0, Gemini Pro и LLaVA) 😧

В своей работе "исследователи" продемонстрировали, как злоумышленник может вставить специально подготовленную подсказку для генеративных ИИ таким образом, чтобы ИИ реплицировал подсказку без участия человека и вставил в выходные данные нечто опасное (от персданных до вредоносного кода), как это происходит в атаках SQL Injection или переполнение буфера ❗️ При этом ИИ может отправить соответствующую подсказку другим ИИ-агентам, которые также будут генерить свои подсказки, тем самым червь начнет распространяться самостоятельно, без участия человека 🔄

Цель исследования, по словам его авторов, - продемонстрировать создание ИИ-червя, чтобы предотвратить тем самым его создание (логика явно не сильная сторона авторов Morris II). Ну а чтобы доказать свое намерение три исследователя, не получив ответа от Google и OpenAI, решили предоставить доступ к исходникам всем желающим 🤦‍♂️

Читать полностью…

Пост Лукацкого

Процесс приема на работу ИБ-джуна без указания вилок зарплаты ☹️

Если бы в конце эту «вилку» не показали, то довольны были бы все - и джун, радующийся монетке, и HR, сэкономивший деньги 🫰 А так джун может уйти с чувством, что его обманули. А с другой стороны это урок!

Читать полностью…

Пост Лукацкого

Центр MITRE Engenuity обновил базу знаний 🤒 по внутренним угрозам, выпустив версию 2.0. Цель этого проекта - создать аналог матрицы MITRE ATT&CK с техниками и тактиками, но применительно только к внутренним нарушителям 🤒, которые используют далеко не все TTP из ATT&CK в своей деятельности. Основой для проекта служат данные, которые компании сами загружают в него, что создает определенные сложности с полным охватом всех возможных действий со стороны внутреннего врага (авторы это признают и особо отмечают в разделе "ограничения проекта") 🤐

В v2 таких TTP только 22% (против 16% в v1), что связано и с меньшим числом целей инсайдеров (в Insider Threat TTP Knowledge Base v2.0.0 фокус пока только на утечках данных и мошенничестве), и с меньшим числом технических ухищрений, которые нужно проводить "крысам" для достижения своих задач 🐀 Например, повышение привилегий используется достаточно редко, - проще создать новую учетку или получить несанкционированный доступ к чужой учетной записи, а также провести манипуляции с данными и собирать их из различных источников, баз данных, репозиториев и т.п. 👨‍💻

В новой версии базы знаний также обновлены разделы "Меры защиты" и "Источники данных", которые позволяют выстроить систему обнаружения и реагирования на выявляемые TTP 🛡

Читать полностью…

Пост Лукацкого

Прекрасное... Песня CISO, принявшего все риски ИБ и не парившегося об этом 😦 а также о том, почему никто не любит ИБ-рисковиков и ИБ-аудиторов 😂

Читать полностью…

Пост Лукацкого

Американцы вводят ограничения на выдачу виз для физлиц, замешанных в злоупотреблениях с шпионским ПО 🥷

Читать полностью…

Пост Лукацкого

Литва 🇱🇹 выпустила очередной отчет по угрозам национальной безопасности для своей страны. Я не заметил особой разницы с прошлогодним отчетом - риторика, угрозы и даже текст местами тот же.

Основная угроза исходит из России 🇷🇺, которая хочет поработать Европу и готовится к войне с НАТО. Беларусь 🇧🇾 тоже хочет поработить гордую Литву и поэтому танцует под дудку России, которая готова снабдить Беларусь нестратегическим ядерным оружием. Китай 🇨🇳 тоже интересуется Литвой и собирает по ней много военной и политической информации через соцсети. Литва пишет, что Китай опасается усиления их сотрудничества с Тайванем 🇹🇼 (прям, угроза, хуже некуда).

Наконец, под финал, в отчете о национальной угрозе военная разведка и министерство госбезопасности этой маленькой, но гордой страны, пишут про перевороты в Чаде 🇹🇩, Нигере 🇳🇪, Судане 🇸🇩, Мали 🇲🇱, Буркина-Фасо 🇧🇫, Габоне 🇬🇦 и других странах центральной Африки. Какое это все отношение имеет к Литве, я опять не очень понял. Видимо писать только про Россию не очень корректно и надо было добавить угроз для солидности.

По кибертематике в отчете не так уж и много - основная угроза в этом домене исходит из Китая 👲

Читать полностью…

Пост Лукацкого

Интересная история разворачивается по ту сторону баррикад. Группировка BlackCat 🐈‍⬛ (она же ALPHV), получив 22 миллиона доллара выкупа от Change Healthcare, о которой я уже писал, кинула "партнеров" и свалила в туман, прихватив с собой все деньги 🤒

При этом, "партнер", который и заразил фармкомпанию, утверждает, что "к сожалению для Change Healthcare все их данные остались" и никто их не удалил как должны были. Похоже, что от компании будут требовать выкуп повторно, может быть в меньшем объеме, но будут. А вот согласится ли жертва на повторную выплату 🤑 при свежем кидалове - это вопрос вопросов. С другой стороны, среди украденных данных, информация от разных фармкомпаний 💊 и страховых, которые будут не рады, что их данные будут опубликованы.

BlackCat пишет на русскоязычном сервере для вымогателей RAMP, что они пытались решить проблему и все оплатить, но потом смысл этим всем заниматься пропал, так как вымогатели решили закрыть свой проект, продав все исходники своего вредоносного ПО за 5 миллионов долларов. Покупатель уже найден 🛍 Одновременно BlackCat пишет, что выплатить выкуп им помешали "федералы", которые вновь перехватили 👮🏻‍♀️ управление их серверами. Однако, есть версия, что они таким образом прикрываются ФБР и решили на этом основании кинуть всех, уйдя в туман с карманами, полными деньгами 👉

Читать полностью…

Пост Лукацкого

Министерство юстиции США обвинило китайца Линвей Динга в краже секретов Google в области искусственного интеллекта 🧠 Кража со стороны китайцев 👲 и их поимка американскими правоохранителями уже давно не новость и стало нормой, но интересно другое.

В материалах Минюста описано, как Динг обходил решение по контролю утечек 🔍 информации, используемое в Google. Сначала он копировал секретные документы в Apple Notes, потом конвертировал заметки в PDF-файлы и потом уже заливал на персональный аккаунт в облако Google. Китайцу, если дело закончится обвинительным заключением, грозит 10 лет тюрьмы и 1 миллион штрафа по 4 пунктам обвинения в краже данных 😡

Читать полностью…

Пост Лукацкого

"Бойцы" из технологического института Джорджии представили на симпозиуме NDSS подход и POC по разработке вредоноса для ПЛК, который является гибким, устойчивым и очень опасным 🤕 В отличие от прошлых подходов к атакам на АСУ ТП (тот же Stuxnet), которые были направлены на фирменное ПО ПЛК или управляющую логику, в новом подходе целью является web-приложения, которые встроены в ПЛК. Это позволяет вредоносному коду оставаться незаметным, использовать легальные вызовы Web API, оставаться активным даже после смены прошивки, устанавливать C2-соединения даже из изолированной сети, самоуничтожаться, подчищать за собой следы своей активности и т.п. 😧

Авторы ничтоже сумняшеся говорят, что их подход в случае реализации (а они демонстрировали и MVP своего "детища") может привести к катастрофическим последствиям и даже людским смертям ⚰️ (нахрена тогда вообще было заниматься разработкой такого ВПО; лавры Оппенгеймера не дают спокойно спать?) 🗡 Разработанный прототип, названный IronSpider 🕷, показал свою эффективность, заразив ПЛК одного из основных вендоров в этом сегменте, занимающего 80% мирового рынка. Рекомендациям по защите от своего авторы исследования посвятили меньше пятой части страницы 👿

Читать полностью…

Пост Лукацкого

Подписчик (за что ему спасибо) прислал ссылку на презентацию с последней встречи компании SolarWinds с инвесторами, в которой компания подводит итоги финансового года и, среди прочего, описывает финансовые последствия инцидента ИБ 👨‍💻 с внедрением закладки в ее продукты. За прошедших с инцидента 3 с небольшим года SolarWinds потратила на разгребание последствий 6️⃣0️⃣ миллионов долларов 💵 Если раскидать по годам, то компания потратила на инцидент:
2021 - 4,6% от оборота
2022 - 3,6% от оборота

При этом, по итогам 2022 года оборот компании не вырос вообще, а доходы от продажи и поддержки проданных продуктов снизились (за счет подписки компания чуть нарастила свои доходы, но незначительно) 📉

Но и это еще не все. Компания в разделе "отказа от ответственности" очень много уделила внимания тому, что вообще ситуация такова, что они не могут гарантировать, что у них не повторится этот кейс, что никто не залезет к ним в инфраструктуру, что не будет очередных исков со стороны пострадавших, что они пока не могут оценить последствия судебного преследования CISO и т.п. 🤌

Наблюдая за последними годовыми отчетами компаний, пострадавших от разных ИБ-инцидентов, вижу, что "среднее" значение потерь от таких крупных историй, можно даже назвать их "недопустимыми событиями", составляет от 3 до 5 процентов от годового оборота 🤑 Достаточно существенная сумма, если вдуматься.

PS. А я напомню, что именно опасаясь реализации недопустимого события "вредоносная закладка в ПО", Positive Technologies анонсировала программу Bug Bounty на это НС на сумму в 60 миллионов рублей. Лучше заплатить чуть меньше миллиона долларов (если кому-то удастся реализовать НС), чем потерять 60. Простая математика!

Читать полностью…

Пост Лукацкого

Вот смотришь, как несколько лет назад рекрутировали хакеров для взлома 🔓 чужих аккаунтов, и сколько платили за это, и понимаешь, что тот, кто тогда согласился на это, сегодня не просто миллионер, долларовый миллиардер! 💸

Читать полностью…

Пост Лукацкого

Интересный кейс тут услышал. Банк 🏦 решил бороться с мошенничеством при переводе денежных средств, а поскольку денег особо не было (банк не из первой сотни даже), то кредитная организация стала внедрять самописный и достаточно простой в реализации антифрод 💰:
контроль IP-адресов и блокировка по геолокации, что отсекало всех "иностранцев", включая и клиентов банков, работающих из-за рубежа ⛔️
контроль "черных" и "белых" списков счетов, в том числе опираясь на межбанковский обмен с коллегами и фиды от Банка России
установление и контроль пороговых значений сумм платежей 🌡
контроль определенных параметров платежных поручений (назначение платежа, сумма, ИНН, КПП и т.п.)
контроль и блокирование новых, ранее не встречавшихся у клиентов получателей денежных средств 🆕

То есть служба ИБ банка отработала "на ура", но вот бизнес такого рвения не оценил, потому что:
число жалоб клиентов возросло многократно 📈
нагрузка на call center банка и его сотрудников возросла многократно
в Интернете вырос негативный фон относительно финансового организации 🤠
у банка снизилось число проданных банковских продуктов.
Зато уровень мошенничества снизился почти до нуля. Только вот кому это оказалось нужно? Не о таком результате думал бизнес, когда ставил задачи безопасникам.

Аналогичная ситуация происходит и в управлении инцидентами, управлении уязвимостями и многих других процессах ИБ, где целью ставится доведения ключевого показателя деятельности до нуля (ноль дыр, ноль угроз, ноль утечек, ноль еще чего-нибудь). На достижение этого "результата" уходят избыточные ресурсы, но бизнес от этого только страдает! Поэтому выбирая результат работы ИБ, к которому служба стремится, нужно искать баланс (точного ответа, какой он, - не существует)! 🟰

Читать полностью…

Пост Лукацкого

⚠️ Зеродей CVE-2024-21762 в устройствах Fortinet, которому подвержено около 150 тысяч торчащих в Интернет железок, начинает эксплуатироваться по миру. Я не знаю зачем это пишу 🆘, ведь вы же не используете NGFW покинувшей страну компании с отозванным сертификатом и непонятно откуда получаемыми обновлениями?.. Или как? 🤬

Читать полностью…

Пост Лукацкого

Проводя киберучения (не штабные), лучший результат достигается тогда, когда участники используют привычный им инструментарий 🛠, а не навязанный организаторами (а с их точки зрения лучше как раз наоборот). С другой стороны лучше так, чем вообще никаких киберучений.

ЗЫ. У чувака на видео, кстати, то ли большой опыт кидания шлепок, то ли шлепки с правильной аэродинамикой. Я попробовал покидать свои и они так четко не летят в цель, как у араба 🤕 Сразу вспоминаются старые китайские фильмы про боевые искусства, где в качестве оружия использовалось все, что под руку попадется - от расчесок до палочек для еды 🥢

Читать полностью…

Пост Лукацкого

За последний месяц на рынок (не российский) было выброшено 3 LLM API Gateway/Firewall ⛔️ А как вы защищаете обращения к внешним LLM (неважно, зарубежным или российским)? 😦

Читать полностью…

Пост Лукацкого

Порассуждал про то, почему формула "риск = вероятность * ущерб" ущербна по своей сути, так как она не учитывает теорию перспектив, которая, в отличие от матожидания формулы риска, объясняет иррациональность поведения человека при принятии решений в области рисков ИБ в том числе (правда, не дает их считать) 0️⃣

Читать полностью…

Пост Лукацкого

В начале февраля американское CISA выдало рекомендации об отключении уязвимых средств защиты Ivanti от инфраструктуры госорганов США. А сейчас становится понятно, почему была дана такая рекомендация. Решения Ivanti использовались в самой CISA и через имеющиеся уязвимости американское агентство по кибербезу успешно взломали 🔓 По словам CISA действия хакеров затронули 2 системы и не имели операционного эффекта (а что насчет стратегического?). Представитель CISA не стал отвечать на вопрос, кто стоял за атакой, к каким данным был получен доступ, были ли данные украдены и т.п.

Согласно источникам, две затронутые системы, - это Infrastructure Protection Gateway, который содержит информацию о взаимодействии критических инфраструктур США, и Chemical Security Assessment Tool (CSAT), в которой размещаются планы безопасности частных химических 👩🏼‍🔬 предприятий, включая данные об оценке их защищенности.

Читать полностью…

Пост Лукацкого

АНБ выпустило набор из 10 документов под общим названием "10 стратегий по защите облаков"; 6 из них совместно с CISA:
1️⃣ Модель разделения ответственности в облаках
2️⃣ Практики управления доступом и идентификацией в облаках
3️⃣ Защищенное управление ключами в облаках
4️⃣ Реализация шифрования и сетевой сегментации в облачных средах
5️⃣ Защита данных в облаках
6️⃣ Безопасность конвейера CI/CD в облаках
7️⃣ Практика автоматизированного деплоймента в облаках с помощью Infrastructure-as-a-Code
8️⃣ Сложность использования гибридных и мульти-облачных окружений
9️⃣ Управление рисками взаимодействия с MSP в облачном окружении
1️⃣0️⃣ Управление облачными логами для эффективного поиска угроз (threat hunting)

Читать полностью…

Пост Лукацкого

Подписчик прислал ссылку (спасибо ему), которую я тоже хотел прокомомментировать. История напоминает разработанный учеными из университета Джорджии прототип вредоносного ПО для промышленных контроллеров, который опаснее чем Stuxnet. Вот и тут некий Луис Венус с "синдромом Оппенгеймера" решил, что надо попробовать создать дрона, который будет летать 🛸 за конкретной "жертвой". Потратив всего несколько часов чувак вместе со своим товарищем инженером, внедрил в дрона две модели - распознающую по лицу конкретного человека (на расстоянии до 10 метров) и позволяющую летать за ним на максимальной скорости 🤕

Этот не очень умный изобретатель, фанат open source, который всегда выкладывает свои творения в паблик, сразу же предложил сценарий использования своего детища - снабжать дрона взрывчаткой и тогда можно адресно убивать "нужных" людей 💥 При этом этот Луис прокомментировал свое изобретение словами, что сейчас с этим невозможно бороться. Ну и вот и зачем он это сделал?

А ведь вместо взрывчатки на дрон можно повесить камеру слежения, устройство для прослушки и много каких еще устройств, вторгающихся в персональную кибербезопасность. Для слежки за бизнесом дроны уже используются (вот история про Хуавей 👲), теперь и за отдельными физлицами будут. Задергивайте шторы!

Читать полностью…

Пост Лукацкого

Microsoft призналась, что у нее украли 🤒исходные коды и хакеры также получили доступ к внутренним системам 🤒

В конце января, когда гигант из Редмонда обнаружил хакеров, они говорили, что доступа к исходникам не было, а только к небольшому объему почты руководства компании ✉️

В этот раз Microsoft уверяет, что доступа к пользовательским системам получено не было. Но я бы уже в это не верил 😤

Читать полностью…

Пост Лукацкого

1️⃣ Пентестеры ограничены временными рамками договора, а хакеры нет Поэтому моделируйте угрозы исходя из этого!

2️⃣ Пентестеры ограничены scope, а хакеры нет. Поэтому не только моделируйте угрозы правильно, но и внедрите управление активами и мониторинг ключевых/целевых систем 🔍

3️⃣ Пентестеров обычно несколько в команде, а хакеров бесконечное число. Поэтому попробуйте добавить к пентестерам еще и bug bounty ▶️

4️⃣ Хакерам обычно достаточно найти всего одну уязвимость, чтобы проникнуть к вам, а вам нужно обнаружить их все. Выстраивайте процесс управления обновления и активами 🛡

Читать полностью…

Пост Лукацкого

Девушки, женщины, матери, дочери, сестры, бабушки и внучки! С праздником вас! Помните, что в США придумали этот день не для того, чтобы мужики дарили вам цветы, сертификаты в спа-салоны и возили на южное побережье Белого моря. Боритесь за свои права быть правыми! Ломайте систему (товарисч майор, призыва к свержению нынешнего строя прошу в этом не усматривать)! Мира вам, добра, красоты и безопасности!! 💐

ЗЫ. Первоначально праздник был назначен на 23 февраля. В СССР также этот день праздновался 23-го февраля, но по старому стилю, то есть 8 марта по новому 💐 Я не знаю, зачем я это приписал, но мне показалось это важным!

Читать полностью…

Пост Лукацкого

Пока весь мир думает, что самая страшная киберугроза - это китайцы 👲 и они всех атакуют и воруют промышленные секреты (наряду с русскими, иранцами и северокорейцами), мало кто задается вопросом, а кто-то атакует саму Поднебесную? Оказывается, да! 🐉

Это индусы 🇮🇳 В частности APT-группировка Bitter (атрибутирована американской Forcepoint), она же Manlinghua (атрибутирована китайской Qihoo 360), которая много лет пытается атаковать военный, государственный и ядерный сектор Китая 🇨🇳. Помимо нее, на Китай нацелены индийские Patchwork, SideWinder, Donot и другие. И именно из Индии идет наибольший поток атак 🪬

У Manlinghua основных первичных векторов атаки два - целевой фишинг и взлом через скомпрометированные легитимные сайты. Помимо Китая (например, известен кейс с отправкой фейковых писем от посольство Кыргызстана 🇰🇬 в ядерные сектор Поднебесной) она нацелена на Пакистан 🇵🇰, Бангладеш 🇧🇩 (известен кейс с отправкой фейковых предложений покупки антидроновых систем в ВВС этой страны) и Монголию 🇲🇳 Причины же такого интереса Индии к Китаю можно подсмотреть в одной из моих предыдущих заметок.

Вообще, если выйти за рамки своего кокона и перестать смотреть на США, то открывается огромный дивный мир ИБ, в котором американцев нет. И России пока нет. Но там такая движуха, что прям интересно-интересно...

Читать полностью…

Пост Лукацкого

В Казахстане 🇰🇿 с 1-го июля 2024-го года вступают в силу обновленные правила по защите персональных данных, среди которых есть и требование по уведомлению 📞 уполномоченного органа об инцидентах с персональными данными. Причем, в отличие от России 🇷🇺, где сообщать надо только об "утечках" ПДн, в Казахстане это надо делать для более широкого набора нарушений с ПДн: 😕
1️⃣ незаконное распространение, изменение или уничтожение ПДн
2️⃣ несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых ПДн
3️⃣ несанкционированный доступ к ПДн.

А я напомню, что для того, чтобы реализовать уведомление в течение 24 часов, необходимо выстроить полноценную систему мониторинга и реагирования 👨‍💻 на инциденты ИБ, а также провести инвентаризацию мест обработки 🤌 ПДн и т.п. Проект непростой и до 1-го июля реализовать его будет непросто. Поэтому я бы рекомендовал посмотреть вебинар по этой теме, который я проводил осенью 2022-го года, и рабочую тетрадь, которая посвящена этой теме. Они могут быть интересны и коллегам из Казахстана.

Читать полностью…

Пост Лукацкого

Аааа, агонь получился 🔥 Люблю вот такие съемки закулисья, когда ты еще не в роли, не паришься о том, что можно говорить, а что нельзя, не выстраивашь струящуюся 🎶 звонкую речь, а можешь быть самим собой 😎 А потом оказывается, что в этот момент тебя снимала камера и потом из этого всего сделали прекрасную нарезку 🎆

ЗЫ. Полная версия будет выложена на AntiMalwarerus?si=JjQyTGZMOBDJ_dmX">Youtube-канале AM Live, в ближайшее воскресенье, 10 марта, в 18.00 по московскому времени 👀

Читать полностью…

Пост Лукацкого

Шифровальщик на Apple Vision Pro 🤿? А почему бы и нет. А если скрестить идею с нейрочипами 🧠 от Илона Маска, то будущее предстает в совсем иных красках 🎨

Одно дело, когда у вас вымогатели требуют деньги за разблокирование «умного» пояса целомудрия 😎 И совсем другое, когда деньги просят за возврат доступа к мозгу 🏌️ …если он, конечно, нужен (и мозг, и доступ к нему)! Интересно, без чего сложнее жить - без 🥶 или без 💄?..

Читать полностью…
Подписаться на канал